StoreFront

使用不同的域进行身份验证

某些组织配置了一些策略,这些策略不允许这些组织向第三方开发人员或合同工提供对生产环境中的已发布资源的访问权限。本文介绍如何在一个域内通过 Citrix Gateway 进行身份验证来提供对测试环境中的已发布资源的访问权限。您随后可以使用不同的域对 StoreFront 和 Receiver for Web 站点进行身份验证。对于通过 Receiver for Web 站点登录的用户,本文中介绍的“通过 Citrix Gateway 进行身份验证”不受支持。对于本机桌面或移动 Citrix Receiver 或 Citrix Workspace 应用程序,此身份验证方法不受支持。

设置测试环境

此示例使用名为 production.com 的生产域和名为 development.com 的测试域。

production.com

此示例中的 production.com 域的设置方式如下所示:

  • Citrix Gateway 配置了 production.com LDAP 身份验证策略。
  • 通过网关进行的身份验证使用 production\testuser1 帐户和密码进行。

development.com

此示例中的 development.com 域的设置方式如下所示:

  • StoreFront、Citrix Virtual App and Desktops 和 VDA 均位于 development.com 域中。
  • 对 Citrix Receiver for Web 站点进行的身份验证使用 development\testuser1 帐户和密码进行。
  • 这两个域之间不存在信任关系。

为应用商店配置 Citrix Gateway

要为应用商店配置 Citrix Gateway,请执行以下操作:

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理 Citrix Gateway
  2. 在“管理 Citrix Gateway”屏幕中,单击添加
  3. 完成“常规设置”、“Secure Ticket Authority”和“身份验证”步骤。

    “添加 Citrix Gateway”窗口的“常规设置”部分的屏幕截图

    “添加 Citrix Gateway”窗口的“Secure Ticket Authority”部分的屏幕截图

    “添加 Citrix Gateway”窗口的“身份验证设置”部分的屏幕截图

注意:

可能需要添加 DNS 条件转发器,以便这两个域中正在使用的 DNS 服务器可以解析另一个服务器上的 FQDN。Citrix Gateway 必须能够使用其 production.com DNS 服务器解析 development.com 域中的 STA 服务器 FQDN。StoreFront 还应能够使用其 development.com DNS 服务器解析 production.com 域中的回调 URL。此外,还可以使用 development.com FQDN,该地址被解析为 Citrix Gateway 虚拟服务器的虚拟 IP (VIP)。

启用从 Citrix Gateway 直通

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 在“管理身份验证方法”屏幕中,选择从 Citrix Gateway 直通
  3. 单击确定

“管理身份验证方法”窗口的屏幕截图

配置应用商店以便使用网关进行远程访问

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置远程访问设置
  2. 选择启用远程访问
  3. 请确保您已在自己的应用商店中注册 Citrix Gateway。如果未注册 Citrix Gateway,STA 票证将不起作用。

“配置远程访问设置”窗口的屏幕截图

禁用令牌一致

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点,然后在结果窗格中选择一个应用商店。在操作窗格中,单击配置应用商店设置
  2. 在“配置应用商店设置”页面上,选择高级设置
  3. 取消选中要求令牌一致复选框。有关详细信息,请参阅高级应用商店设置

    高级设置需要令牌一致性设置的屏幕截图

  4. 单击确定

注意:

“要求令牌一致”设置默认处于选中状态。如果禁用此设置,用于 Citrix Gateway 端点分析 (EPA) 的 SmartAccess 功能将停止运行。有关 SmartAccess 的详细信息,请参阅 CTX138110

对 Web 站点禁用从 Citrix Gateway 直通

重要:

禁用 Citrix Gateway 直通将防止 Web 站点尝试使用从 Citrix Gateway 直通的 production.com 域中的错误凭据。禁用从 Citrix Gateway 直通会导致 Web 站点提示用户输入凭据。这些凭据与用于通过 Citrix Gateway 登录的凭据不同。

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店节点。
  2. 选择要修改的应用商店
  3. 操作窗格中,单击管理 Receiver for Web 站点
  4. 在“管理身份验证方法”中,取消选择从 Citrix Gateway 直通
  5. 单击确定

    “编辑 Receiver for Web 站点”窗口“身份验证方法”部分的屏幕截图

使用 production.com 用户和凭据登录网关

要进行测试,请使用 production.com 用户和凭据登录网关。

登录屏幕的屏幕截图

登录后,系统将提示用户输入 development.com 凭据。

第二个登录屏幕的屏幕截图

在 StoreFront 中添加可信域下拉列表(可选)

此设置为可选设置,但可以帮助阻止用户意外输入错误的域以通过 Citrix Gateway 进行身份验证。

如果用户名与这两个域的用户名相同,输入错误域的可能性更大。新用户通过 Citrix Gateway 登录时,也可能会使用新用户退出域。系统提示用户登录 Receiver for Web 站点时,这些用户随后也可能会忘记输入第二个域的域\用户名。

  1. 在 Citrix StoreFront 管理控制台的左侧窗格中选择应用商店,然后在操作窗格中单击管理身份验证方法
  2. 选择用户名和密码旁边的下拉箭头。
  3. 单击添加development.com 添加为可信域,然后选中在登录页面中显示域列表复选框。
  4. 单击确定

“配置可信域”窗口的屏幕截图

带有域下拉列表的登录屏幕的屏幕截图

注意:

不建议在此身份验证场景中使用浏览器密码缓存。如果用户为两个不同的域帐户设置了不同的密码,密码缓存会导致体验较差。

NetScaler 会话操作策略

  • 如果在您的 Citrix Gateway 会话策略中启用了“单点登录到 Web 应用程序”,Citrix Gateway 向 Web 站点发送的不正确的凭据将被忽略,因为您已在 Web 站点上禁用从 Citrix Gateway 直通身份验证方法。无论此选项的设置为何,Web 站点都会提示您输入凭据。
  • 在 Citrix Gateway 中的“Client Experience”(客户端体验)和“Published App”(已发布的应用程序)选项卡中填充单点登录条目不会改变本文中介绍的行为。

    “Citrix 策略”屏幕的“客户体验”选项卡的屏幕截图

    “Citrix 策略”屏幕的“已发布的应用程序”选项卡的屏幕截图